AD FS

Présentation

Les Services de Fédération Active Directory (AD FS) permettent aux utilisateurs d’un annuaire Active Directory de bénéficier de services d’authentification unique (SSO) et d’une identité fédérée pour des applications externes grâce à un échange de revendications (claims).

L’authentification fondée sur les revendications permet à un utilisateur d’obtenir un jeton sécurisé auprès de son serveur d’identité. Le jeton peut ensuite être présenté à un partenaire de confiance, afin d’ouvrir une session applicative.

 

Vous trouverez également la présentation et les bénéfices du service ADFS directement sur ce lien : https://technet.microsoft.com/fr-fr/library/cc755226.aspx

 

Prérequis

ADFS 3.0 est la version des services de fédération disponible sur le système d’exploitation Microsoft Windows Server 2012 R2.

Cette version améliore les fonctions proposées par ADFS 2.0, et offre notamment les avantages suivants :

Support de protocoles de fédérations étendus (SAML, WS-Trust, Oauth, etc.)

  • Nouvelles commandes PowerShell pour la gestion et l’exploitation de ADFS
  • Support de l’authentification Multi Facteurs
  • Support des périphériques mobiles grâce au Workplace Join
  • Introduction du Web Application Proxy (WAP) permettant la publication simple d’application, ainsi que l’authentification intégrée ADFS aux applications publiées.
  • Intégration d’ADFS 3.0 en tant que rôle

 

Prérequis Matériels

Le déploiement des services de fédération Active Directory (AD FS) version 3.0 nécessite un ensemble de serveurs. L'utilisation de VMs est totalement supportée. 

  • Quad-core, 2 GHz
  • 4 GB of RAM
  • 60 GB of Disk Space

 

Prérequis Logiciels

AD FS 3.0 nécessite Microsoft Windows Server 2012 R2 pour les serveurs de fédération et les serveurs proxy.

Tous les contrôleurs de domaine de l’organisation doivent exécuter Microsoft Windows Server 2008 ou supérieur. Le niveau fonctionnel des domaines concernés doit être 2003 ou supérieur. Les autres prérequis logiciels seront déployés lors de l’installation du rôle AD FS.

AD FS supporte les comptes de services classiques, ainsi que les «group managed service account ». Le compte de service utilisé doit être trusté dans chaque domaine concerné. Les MSA (Managed service account) sont disponibles dans une infrastructure exécutant au moins un contrôleur de domaine Windows Server 2012.

Le serveur ADFS ne doit pas être joint au domaine. 

 

Certificats 

Un certificat SSL sera utilisé lors des communications entre les serveurs AD FS, les clients et les serveurs proxy.

Ce certificat sera déployé sur chaque serveur de fédération appartenant à la ferme.

Les utilisateurs doivent faire confiance à ce certificat. Il doit émaner d’une autorité publique de certification, ou de la PKI interne de l’organisation cible.

 

Ce certificat doit répondre aux critères suivants :

  • Le SN et le SAN de ce certificat doivent faire référence à votre service de fédération. Par exemple : adfs.consulting.com
  • Le SAN doit de plus posséder la valeur enterpriseregistration suivie du suffixe UPN de l’organisation cible. Par exemple : adfs.main.consulting.com
  • Ce certificat peut être de type « wildcard ». Par exemple : *.main.consulting.com

 

Un certificat x.509 sera utilisé par les serveurs de fédération pour signer les jetons délivrés aux utilisateurs. AD FS peut automatiquement générer ce certificat. Ce certificat peut émaner d’une autorité de certification de confiance.

Le certificat utilisé doit être le même que celui utilisé sur ADFS Serveur !

 

Applicatifs 

Les protocoles suivants pourront être utilisés par les applications désirant s’interfacer avec les services de fédération.

  • WS-Federation
  • WS-Trust
  • SAML 2.0 utilisant  IDPLite, SPLite ou eGov1.5.
  • OAuth 2.0

 

Installation

Pour installer le serveur proxy pour ADFS, il est nécessaire d'avoir installé le serveur ADFShttp://www.it-channels.com/microsoft/ad-fs/191-installer-le-serveur-adfs-3-0

Installation du rôle Web Application Proxy  sur srv-proxy1. Le rôle Proxy ADFS n’existe plus à proprement parlé dans Windows Server 2012 R2

Lancez l’assistant ajout de rôles et de fonctionnalités et sélectionner Remote Access

Next

Next

Sélectionner Web Application Proxy

Install

...

Le rôle est maintenant installé

Lancez le wizard de configuration

Next

Créez un compte d'administration dédié pour votre infrastructure ADFS

Rajoutez-le dans le groupe des administrateurs locaux des vos serveurs ADFS

Indiquez le nom du service ADFS préalablement configuré, ainsi que le nom de votre compte d'administration

Sélectionnez le certificat identique celui configuré sur la partie ADFS Serveur

Configure

...

Installation terminée

Test du service :

https://adfs.main.consulting.com/adfs/ls/idpinitiatedsignonhttps://<nom_du_service_adfs>/adfs/ls/idpinitiatedsignon

Une fois avoir renseigné le login/mdp, vous devriez être connecté

Well done !!!

Bonne installation =)

Joris

Leave your comments

Post comment as a guest

0
Your comments are subject to administrator's moderation.

People in this conversation

Translation

S5 Box

Connexion classique

Inscription par formulaire